2023-2469: Apache Tomcat: Mehrere Schwachstellen ermöglichen u. a. Denial-of-Service-Angriffe
Historie:
- Version 1 (2023-10-11 14:27)
- Neues Advisory
- Version 2 (2023-10-13 19:18)
- Für Debian 10 Buster (LTS) steht ein Sicherheitsupdate für 'tomcat9' in Version 9.0.31-1~deb10u9 bereit, um die Schwachstellen zu beheben.
- Version 3 (2023-10-17 10:02)
- Debian informiert darüber, dass mit dem Patch zur Behebung der Schwachstelle CVE-2023-44487 (Rapid Reset Attack) eine Regression in der Klasse 'Http2UpgradeHandler' von Tomcat 9 eingeführt wurde. Durch einen falschen Wert für die Variable 'overheadcount' können HTTP2-Verbindungen frühzeitig beendet werden. Der Hersteller empfiehlt deshalb die Aktualisierung der 'tomcat9'-Pakete.
Betroffene Software
Server
Betroffene Plattformen
Linux
Beschreibung:
Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um Informationen auszuspähen, einen HTTP-Request-Smuggling- und Denial-of-Service (DoS)-Angriffe durchzuführen sowie falsche Informationen darzustellen.
Für die Ausnutzung der Schwachstellen sind keine Privilegien erforderlich.
Die CYBERSECURITY & INFRASTRUCTURE SECURITY AGENCY (CISA) füht die Schwachstelle CVE-2023-44487 in ihrem 'Known Exploited Vulnerabilities Catalog', da diese zumindest in anderen Produkten aktiv ausgenutzt wird.
Für Debian 11 Bullseye (oldstable) steht ein Sicherheitsupdate für 'tomcat9' in Version 9.0.43-2~deb11u7 bereit, um die Schwachstellen zu beheben.
Schwachstellen:
CVE-2023-24998
Schwachstelle in Apache Commons FileUpload und Apache Tomcat ermöglicht Denial-of-Service-AngriffCVE-2023-41080
Schwachstelle in Apache Tomcat ermöglicht Darstellen falscher InformationenCVE-2023-42795
Schwachstelle in Apache Tomcat ermöglicht Ausspähen von InformationenCVE-2023-44487
Schwachstelle in IETF HTTP/2-Implementierung ermöglicht Denial-of-Service-AngriffCVE-2023-45648
Schwachstelle in Apache Tomcat ermöglicht einen HTTP-Request-Smuggling-Angriff
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.